comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[XSS] http://espinillo.org

  • 4 Respuestas
  • 1421 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
« en: Septiembre 08, 2016, 09:26:02 pm »
Imagen:


Url: You are not allowed to view links. Register or Login - (You are not allowed to view links. Register or Login) - foro=(1-30)
Vector: '<h1 style="color: #ff001b">Underc0de</h1>' *
Autor: Pytness
Reportado: Si**

* Detecta varias palabras, tales como 'script', 'alert', 'write', 'getElementById'... Validacion Back-End, muestra una alerta de error.
-* Añadiendo una imagen con un src nulo y un onerror podemos cargar un script.

**
Lo reporte hace meses y añadieron un 'filtro' de palabras (*). Lo he vuelto a reportar.
« Última modificación: Septiembre 09, 2016, 06:04:37 pm por Pytness »
Pytness

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1892
  • Actividad:
    15%
  • Reputación 14
    • Ver Perfil
« Respuesta #1 en: Septiembre 10, 2016, 06:54:33 am »
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.



Desconectado Vasyyyl

  • *
  • Underc0der
  • Mensajes: 65
  • Actividad:
    0%
  • Reputación 0
  • Con la practica obtendrás la soltura.
    • Ver Perfil
« Respuesta #2 en: Septiembre 11, 2016, 04:02:20 pm »
You are not allowed to view links. Register or Login
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.
@You are not allowed to view links. Register or Login En el mismo enlace tiene sqli XD


Donde algo viejo muere es que algo nuevo nace.

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
« Respuesta #3 en: Septiembre 11, 2016, 06:04:52 pm »
You are not allowed to view links. Register or Login

Este de aqui tiene contraseña, creo que la pass no esta en la base de datos.
Pytness

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
« Respuesta #4 en: Septiembre 11, 2016, 06:06:17 pm »
Estuve mirando en la BD mediante Blind SQLi y pude averiguar que guardan almenos los nombres de los foros :/
Pytness

 

¿Te gustó el post? COMPARTILO!



SQLI WAF Bypass y SQLI LoadFile http://www.lasemana.es/

Iniciado por hdbreaker

Respuestas: 0
Vistas: 1086
Último mensaje Julio 25, 2013, 02:55:56 am
por hdbreaker
SQLI Double Error Based http://campusvirtual.frsf.utn.edu.ar

Iniciado por hdbreaker

Respuestas: 1
Vistas: 1006
Último mensaje Febrero 19, 2013, 06:59:26 pm
por ANTRAX
SQLI Source Data http://bolivia.infoleyes.com/

Iniciado por hdbreaker

Respuestas: 0
Vistas: 1138
Último mensaje Junio 25, 2013, 10:37:19 pm
por hdbreaker
[XSS + Arbitrary File Upload] http://www.holatelcel.com

Iniciado por HckDrk

Respuestas: 2
Vistas: 1694
Último mensaje Marzo 13, 2014, 01:22:24 pm
por clavo25
SQLI Double Query http://www.mirada21.es/

Iniciado por hdbreaker

Respuestas: 0
Vistas: 877
Último mensaje Julio 25, 2013, 02:38:04 am
por hdbreaker